スライド 1

Size: px

Start display at page:

Download "スライド 1"

かずまささくいし
5 years ago
Views:

1 FFRI Dataset 2017 のご紹介株式会社 FFRI Ver

2 Agenda FFRI Dataset 2017 概要 Cuckoo Sandbox 具体的なデータ項目データの利用例 2

3 FFRI Dataset 2017 の概要 FFRIで収集したマルウェアの動的解析ログ 2017/3~2017/4に収集された検体計 6,251 件 PE 形式かつ実行可能なもの 15ベンダー以上でマルウェア判定を受けているもの +FFRI Dataset 2013, 2014, 2015, : Cuckoo ログファイル約 2600 検体分 2014: Cukcoo FFR yarai analyzer professionalログファイル約 3000 検体分 2015: Cuckoo ログファイル約 3000 検体分 2016: Cuckoo ログファイル約 8000 検体分 Cuckoo Sandbox FFRI 保有検体動的解析解析ログ 3

4 ( 補足 )FFRI の検体収集の取り組み VirusTotalを用いた収集独自のWeb Crawlingによる収集 Web 感染型 Web 上で配布されているマルウェア等他ベンダとの検体交換 4

5 Cuckoo Sandbox - オープンソース ( 一部非公開 ) のマルウェア解析システム仮想環境内でマルウェアを実行実行時のふるまいをモニタリング VirusTotal 連携 yara 連携等社内のマルウェア解析用ネットワークにシステムを設置実行 Windows 7 x86 1 検体 ( 解析対象 ) 1 ログファイルログファイルは json 形式一検体最大 90 秒実行 5

6 6 具体的なデータ項目項目 ( 大見出し ) 内容 info 解析の開始終了時刻 id 等 signatures ユーザー定義シグニチャとの照合結果 virustotal VirusTotalから得られる情報 static 検体のファイル情報 ( インポートAPI セクション構造等) dropped 検体が実行時に生成したファイル behavior 検体実行時のAPIログ (PID TID API 名引数返り値動作概要等 ) target 解析対象検体のファイル情報 ( ハッシュ値等 ) debug 検体解析時のCuckoo Sandboxのデバッグログ strings 検体中に含まれる文字列情報 network 検体が実行時に行った通信の概要情報

7 7 具体的なデータ項目 (info) "info": "route": "none", "package": "", "ended": , "version": "2.0.1", "custom": "", "machine": "status": "stopped", "manager": "VirtualBox", "started_on": " :10:59", "name": "cuckoo1", "label": "guest", "shutdown_on": " :12:47" "added": , "category": "file", "score": 7.4,

8 8 具体的なデータ項目 (virustotal) "virustotal": "scan_id": " e3c27238d525e44c13166c8d7bcd "tags": [ "nsis", "peexe", "overlay" ], "resource": " e3c27238d525e44c13166c8d7bcd70689 "ssdeep": "6144:un/L+D97+9OlOrv2ZJnI+pjOu/Smp5LBfdjB3XUx0Xz "additional_info": "trid": "NSIS - Nullsoft Scriptable Install System (94. "f-prot-unpacker": "NSIS", "imports": "USER32": [ "CharPrevA", "GetMessagePos", "EndPaint",

9 9 具体的なデータ項目 (virustotal) "scans": "Tencent": "version": " ", "detected": true, "result": "Win32.Trojan.Zerber.Anfq", "update": " " "AVware": "version": " ", "detected": true, "result": "Trojan.Win32.Generic!BT", "update": " " "Emsisoft": "version": " ", "detected": true, "result": "Trojan.GenericKD (B)",

10 10 具体的なデータ項目 (static) "static": "keys": [], "pe_resources": [ "offset": "0x0002e238", "filetype": "data", "language": "LANG_ENGLISH", "name": "RT_BITMAP", "size": "0x ", "sublanguage": "SUBLANG_ENGLISH_US" "offset": "0x0002e5a0", "filetype": "data", "language": "LANG_ENGLISH", "name": "RT_ICON", "size": "0x000002e8",

11 11 具体的なデータ項目 (static) "pe_sections": [ "virtual_size": "0x000061c2", "name": ".text", "virtual_address": "0x ", "entropy": , "size_of_data": "0x " "virtual_size": "0x e", "name": ".rdata", "virtual_address": "0x ", "entropy": , "size_of_data": "0x " "virtual_size": "0x0001bc38",

12 12 具体的なデータ項目 (dropped) "dropped": [ "sha1": "c9d10f6bc29c5138eb4497b085a45b22cc05eea5", "sha256": "cf6efc2b7989f2868c223d6b63b578f f418c "sha512": "fed807c147f7c73a0fc d26d5cafa35a49e5 "name": "cf6efc2b7989f286_zcbrmqmkks.9212", "size": 17873, "filepath": "c: tmp8t2cjf lib api zcbrmqmkks.9212", "path": "/home/john/.cuckoo/storage/analyses/103/files/ "crc32": "C893B883", "yara": [], "urls": [ " ], "type": "data", "md5": "716100f fc0cf15db1085f9aa", "ssdeep": null,

13 13 具体的なデータ項目 (behavior) "behavior": "apistats": "3540": "RegQueryValueExA": 1, "GetNativeSystemInfo": 1, "NtClose": 197, "GetFileSizeEx": 12, "NtGetContextThread": 1, "LoadStringW": 1, "CoUninitialize": 16, "GetFileSize": 2, "NtQueryValueKey": 7, "NtOpenKey": 28, "SetFileTime": 2, "FindResourceExW": 2, "CreateDirectoryW": 12, "RtlDecompressBuffer": 1,

14 14 具体的なデータ項目 (behavior) "processtree": [ "children": [], "process_name": "lsass.exe", "command_line": "C: Windows system32 lsass.exe", "track": false, "pid": 492, "ppid": 376, "first_seen": "children": [ "children": [ "children": [], "process_name": "mshta.exe",

15 15 具体的なデータ項目 (behavior) "summary": "regkey_deleted": [ "HKEY_CURRENT_USER Software Microsoft Windows C "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows "HKEY_CURRENT_USER Software Microsoft Windows C ], "file_opened": [ "C: Users Smith AppData Local Microsoft Windo "c: tmp8t2cjf lib core ", "c: Users Public documents ", "c: tmp8t2cjf modules packages pub.py", "C: Users Smith AppData Roaming Microsoft Win "C: ", "C: Users Smith AppData Roaming Microsoft Win "c: PerfLogs ", "c: Users Smith Desktop gndikchadqgjpza.ppt",

16 16 具体的なデータ項目 (behavior) "calls": [ "tid": 3544, "status": 1, "time": , "return_value": 32775, "category": "system", "stacktrace": [], "arguments": "mode": "flags": "mode": "SEM_FAILCRITICALERRORS SEM_NOOPENFILEE "api": "SetErrorMode"

17 17 具体的なデータ項目 (target) "target": "file": "sha1": "27f6b7c6ef8c1aefe3eb9e0792e3008d5d535c30", "ssdeep": null, "sha512": "04813bb0d21b82ff0f92b9e013aa4e61c1f6c408591be43e "name": " e3c27238d525e44c13166c8d7bcd706890c44 "size": , "sha256": " e3c27238d525e44c13166c8d7bcd706890c "path": "/home/john/.cuckoo/storage/binaries/ e "crc32": "512B0DAF", "yara": [], "urls": [ " ], "md5": "ec96d9fea732cec91dfd9beabeab3bd9", "type": "PE32 executable (GUI) Intel 80386, for MS Wind

18 18 具体的なデータ項目 (strings) "strings": [ "!This program cannot be run in DOS mode.", "irichu", "`.rdata", "@.data", ".ndata", " s495l[b", "Instu`", "softuw", "NulluN", "j@vh`[b", "D$,SPS", "D$$+D$", "D$,+D$$P", "PPPPPP", "@PWSh(", "< u001fv "PhX",

19 19 具体的なデータ項目 (strings) "network": "smtp": [], "http": [], "icmp": [ "dst": " ", "type": 3, "src": " ", "data": "" "dst": " ", "type": 3, "src": " ", "data": ""

20 データの利用例マルウェア検知分類ヒューリスティック検知傾向分析クラスタリング悪性通信の検出識別情報の外部送信検知 (hostname, username, GUI 等 ) ベンチマーク自身の自動解析システムとの比較有効性検証動作プラットフォームにおける振る舞いの差異 20

スライド 1

スライド 1 FFRI Dataset 2016 のご紹介株式会社 FFRI http://www.ffri.jp Ver 2.00.01 1 Agenda FFRI Dataset 2016 概要 Cuckoo Sandbox 具体的なデータ項目データの利用例 2 FFRI Dataset 2016 の概要 FFRIで収集したマルウェアの動的解析ログ 2016/1~2016/3に収集された検体計 8,243